Знакомьтесь: Tidus или просто Артем, 18 лет. Проживает во время учебы в Минске, учится в Академии управления при Президенте Республики Беларусь, на фак-те государственного управления и права.
Кто он такой, чем занимается и чем известен – узнаете из интервью ниже =)
Shtirlitz (S): Ты стал известен на вап-форумах как человек, показывающий уязвимости хостингов. Теперь, получив определенную репутацию, ты решил зарабатывать на нахождении багов, "дыр" в скриптах, так?..
Tidus (T): Вообще, эта идея была у меня давно. Даже еще до того, как появился раздел платной проверки на xakep.mobi.
Кстати, мне предлагали вести этот раздел, но я отказался, т.к. привык работать один.
А потом увидел тему на античате, но учеба на первом месте, поэтому идея угасла. А когда сессия была сдана, я как обычно серфил по форумам, и увидел тему о проверке сайтов на visavi.net от finall2. Обдумал все. И решил подзаработать. 
Раньше тоже проверял, но больше в "подполье". Проверял довольно известные вап-сайты. И с каждым разом все больше удивлялся, что и в таких сайтах бывают типичные ошибки. У многих людей в вапе сложился стереотип, что такие сайты неуязвимы. Но лично для себя я этот стереотип развеял.
(S): И как? Клиентов хватает теперь? Расценки, смотрю, у тебя вполне демократичные.
(T):
От клиентов отбоя нет
Приходится чем-то жертвовать, в данном случае, отдыхом и сном. Сегодня к примеру всю ночь исправлял один скрипт. Режим дня изменился. Приходится спать тогда, когда есть свободное время
А расценки – это да. Стараюсь еще и скидки делать, т.к. понимаю, что не все готовы платить относительно большие суммы. В итоге сумма набегает за счет оборота. Т.е лучше 5 человек закажут по 100 рублей, чем 1 человек закажет за 300 рублей.
(S):
Озвучишь примерные суммы заработка за день? Не от зависти, а от любопытства =)
(T):
В среднем это 500-1000 рублей. Но был один день, когда 2000 заработал, правда работа объемная была. Одно дело – свой код, а другое – чужой код.
Приходится внимательно изучать все, чтобы ничего не упустить.
Ведь если проверю плохо – мне же потом и попадет. 
Да и репутация пострадает, а этого не хочется, т.к долго ее зарабатывал.
(S):
Скажи, ты находил "дырки" во многих вап-хостингах. Как реагировали хостеры на это? Они исправляли ошибки, выходили на тебя?
(T):
Обычно я сам писал хостерам и объяснял ситуацию.
Реагировали по-разному. Обычно просили помочь исправить, на что я, как правило, соглашался.
Попадались и такие, кто не верил мне, считал, что у них все защищено. Таким хостерам я не помогал.
Один хостер так вообще заявил в стиле "Давай, я тебе дам на пиво, ты нам расскажешь, что ты хотел сделать, и иди гуляй. А мы – серьезная контора."
Писали хостеры и сами с просьбой проверить их сервер.
(S):
Так, а скажи, твоя деятельность идет только на благо или иногда подобно Глюку чинишь неприятности кому-либо? Вопрос на честность =)
(T):
Если честно, мне просто лень чинить неприятности. Я лучше в кс поиграю
Но бывают случаи, когда дело принципа.
Вот например, рекламил у меня на сайте как-то один человек свой сайт. В тот же день он остался без аккаунта и с дефейсом вместо сайта
Потом он все вернул, но уже я его на моем сайте не видел.
(S):
=) Ты в статье на хвабе (читайте ниже) рассказал о самых популярных ошибках хостеров?
(T):
Да. Написал все, что вспомнил. Некоторые советы несовместимы.
Просто зависит от уровня каждого человека.
Кому-то хватит удалить файл, чтобы по шаблону его не сломали. А кто-то задумается и найдет надежный, но более сложный способ.
(S):
А скажи, что ты думаешь про Глюка, который чинит многим неприятности: ломает сайты, выкладывает бэкапы и базы данных?
(T):
Многие через это проходят…
Я и сам себя таким помню года 2 назад. Хочется известности, внимания.
Кто-то взрослеет, умнеет и прекращает беспредел. А кто-то как был ребенком, так им и остается. Каждый сам выбирает свою судьбу.
Возможно, через пару лет он исправится. А может и станет таким, как сириус, например.
(S):
Ладно, теперь необычный вопрос =) какой бы ты вопрос задал себе, если бы интервьюировал себя? =)
(T):
Вопрос действительно необычный
Скорее всего, я бы спросил что-то вроде того, с чего все начиналось, каким был первый взлом, почему и т.п
(S):
О, какой был первый взлом, какие эмоции испытал? =)
(T):
Ну это помню очень хорошо
И снова связано с рекламой
Это было в 2007 году, я тогда еще даже пхп не знал. На вап-форуме о Final Fantasy один человек рекламировал свой сайт. А админа не было на форуме, т.к форум заброшенный был. Я захотел проучить его. Попал как-то на wap-hack.ru, почитал статей о вап-моторе.
А на том сайте как раз был мотор 15.7, также была библиотека Хинтоза. А Хинтоз – это один из админов вап-хака, эта библиотека была уязвима, и была статья, про то, как вытащить хэш админа
Я попробовал – получилось, но как узнать пароль я не знал. Я попросил на форуме расшифровать хэш. Это сейчас я знаю, что мд5 хэши подбираются, а не расшифровываются, а тогда не знал
Человек с ником Shadow написал заветный пароль в теме. Чувак, я тебя никогда не забуду. Спасибо 
В качестве благодарности я подарил ему 7-значный номер аськи.
Пошел на сайт, пароль подошел. Натворил там много нехороших вещей, но был очень доволен
На форуме показал ссылку. Люди начали писать: круто, респект, уважуха и т.п. Тогда мне 15-16 лет. И естественно, мне это очень понравилось. И я продолжил свой путь в этом направлении…
***
На форуме хваба Tidus выложил статью-рекомендацию для хостеров и управляющих своими серверами, выкладываю её ниже.
Из-за утечки информации к вымогателям типа сириуса, решил поделиться знаниями
Чтобы не стать жертвой взлома хостинга:
1. Обязательно ставим mod_itk или аналог ему, типа mpm 2 peruser.
2. После этого ставим права 700 на папки public_html всех юзеров.
3. Если первые 2 действия вы не сделали и не будете делать, обязательно удалите бинарник /bin/ln или /usr/bin/ln
И чем быстрее, тем лучше.
Иначе у вас могут слить файлы. Пример команды в cron:
ln -s /home/admin/public_html/index.php /home/user/public_html/file.txt
Переходим браузером по ссылке site-usera/file.txt и видим содержимое скрипта.
Chmod 710, 750 не спасают! Только 700.
4. ISP + mod_php = очень плохо. Можно обойти open_basedir, если создать сайт без пхп, а потом прописать в .htaccess
php_flag engine on
Также в исп можно смотреть логи. Либо просите патчи у Fernus’a, Shift’a, либо пишите разработчикам, либо пишите патчи сами. (:
5. Обновите PHP, биллинг и панели управления до последней версии.
6. Не храните в биллинге пароли от серверов! А если и храните, то биллинг спрячьте на надежный хостинг либо вдс!
7. В php.ini обязательно должны быть настроены disable_functions (как минимум, exec, shell_exec, popen, system, proc_open, passthru, virtual, symlink, link) и open_basedir.
8. Отключите Mod userdir, чтобы не было доступа типа IP/~admin.
Итого: если чмоды на всех public_html 700, то вы в танке, и многое из выше перечисленного можно не делать. (:
Как только прочитаете сообщение, бегом удалять бинарник ln. Скрипт кидди не дремлят. (:
Надежные хостинги:
jahost.ru (Tidus на нем), sweb.ru, jino.ru, masterhost.ru, qwarta.ru,
evrohoster.ru
Все писалось на скорую руку. Наиболее распространенные ошибки и способы их оперативного устранения. Каждый выберет себе по способностям.
P.S. Хостинги я не проверяю, ибо ничего нового не скажу. Читаем, анализируем.
ICQ Tidus’a: 427277
****
Необходим ремонт macbook air? Есть решение! =)
Гнилой тип этот тидус, не связывайтесь с ним.
>> Люди начали писать: круто, респект, уважуха и т.п.
так он для себя делает или для репутации?
// зы, "оставьте свой отзыв" нужно убрать, страница начинает "подвисать"
Про него че то везде говорят.
Morgan, в 15-16 лет, когда начинал, я был обычным шаблонщиком, и поэтому понимаю сейчас многих новичков-подростков. Тогда хотелось известности. Поэтому и были взломы "за снятие копирайта" и т.п. Лишь бы любая причина была.
Тогда у людей и начали возникать ассоциации "Tidus – ламер", "Tidus – гнилой" и т.п.
Потом ситуация изменилась. Сейчас я занимаюсь этим для себя, так как мне интересно. Многие обращаются за помощью, за советом. Помогаю по мере возможности. А также это стало основным видом заработка.
А если при выставлении чмода даже 710 на паблик хтмл сайт недоступен то что делать?
Для апача нужна как-минимум 1 в чмоде на паблик хтмл.
Первая цифра в чмоде – права для владельца.
Вторая – группы владельцев.
Третья – все остальные.
Сейчас методы защиты основаны на чмодах типа 710, 750. Причем владельцем является, юзер, а группа апач.
Т.е простым способом не залезешь. Но метод с симлинками обходит такую защиту.
Drengr, значит владелец и группа – юзер. Т.е придется ставить как минимум хх1, но это очень плохо.
на счет хостингов верно сказано. а то соберется какая-нибудь компания пятиклассников, и начинают свои г-хосты продвигать.. а чуть что, так сразу в "кусты"..
Tidus отличный чел)))
Помог мне в трудный момент, купил рекламу на naryto.org за хорошую сумму
Помню как Тидус пришол на вапхак.
Время шаблонов, XSS и прочей ерунды.
Прочитал скока он зарабатывает убедился что я выбрал верное решение кинув ето дело.
Тидус, шифт и прочие люди того поколения ничего так и не добились, да про них пишут в форумах они умничают но бизнес они свой так ине смогли сделать.
Сайты любительского уровня, мысли только о том как выипнутся в очеродной раз.
Как мне все это знакомо…Года 2 а то и больше страдал аналогичной фигней.
.Сам себе и кодер и сисадмин и защитник от взломов.
Дальше сделал из всего этого несколько выводов.
"-" Время потраченое на поиски уязвимостей на серверах можно было потратить на реальные проекты…В те времена раскрутить сайт было как раз плюнуть.
"+" Знания не уходят
С большим интересом прочитал интервью, Штирлиц молодец, хороший блог, время от времени читаю, смотрю и от тебя регулярные переходы на анкету. С Тидусом не знаком, судя по постингу (не только здесь) – адекватный парень, пишет, что иногда помогает другим, это хорошо, уважаю.
Да исправлюсь, яж просто так ниче не делаю никому =)
Норм интервью, тиды4 респ)))
Реально хороший чел, хоть терь знаю что ты был пакосником как и я *CRAZY*
кстате вап спите спокойно я забил на вас
жди меня веб =D
У тидус, привет те от Sklp’a и хинтоза ) было время было ))